Cisco Cisco Identity Services Engine 1.2 产品宣传页

开始之前

如果您退出 Active Directory 域，但仍然使用 Active Directory 作为身份源进行身份验证（直接作为身份源或作为身份源序
列的一部分），可能导致身份验证失败。

过程

步骤 1

选择 Administration（管理） > Identity Management（身份管理） > External Identity Sources（外部身份源）
> Active Directory。

步骤 2

选中思科 ISE 节点旁边的复选框并点击 Leave（退出）。

步骤 3

输入 Active Directory 用户名和密码，然后点击 OK（确定）来退出域并从思科 ISE 数据库删除机器帐户。
如果您输入 Active Directory 凭证，思科 ISE 节点会退出 Active Directory 域并从 Active Directory 数据库删除思科
ISE 机器帐户。

要从 Active Directory 数据库删除思科 ISE 机器帐户，您在此处提供的 Active Directory 凭证必须具备从
域删除机器帐户的权限。

注释

步骤 4

如果您没有 Active Directory 凭证，请选中 No Credentials Available（没有可用凭证）复选框，然后点击 OK（确
定）。
如果选中 Leave domain without credentials（不使用凭证退出域）复选框，主要思科 ISE 节点将退出 Active
Directory 域。 Active Directory 管理员必须手动删除加入期间在 Active Directory 中创建的机器帐户。

配置身份验证域

思科 ISE 加入的域对与之有信任关系的其他域具有可见性。 默认情况下，思科 ISE 设置为允许对所有这些受信任的域执
行身份验证。 您可以将与 Active Directory 部署的交互限制为仅一部分身份验证域。 配置身份验证域可让您为每个加入点
选择特定域，以便只对所选域执行身份验证。 身份验证域可提高安全性，因为它们指示思科 ISE 仅对来自所选域（而不
是加入点信任的所有域）的用户执行身份验证。 身份验证域还可改善性能以及身份验证请求处理延迟，因为身份验证域
限制搜索区域（即，将搜索帐户与传入用户名或身份匹配的范围）。 这在传入用户名或身份不包含域标记（前缀或后缀）
时尤为重要。 由于上述原因，配置身份验证域是最佳实践，我们强烈推荐它。

过程

步骤 1

选择 Administration（管理） > Identity Management（身份管理） > External Identity Sources（外部身份源）
> Active Directory。

步骤 2

点击 Authentication Domains（身份验证域）选项卡。
会出现一个表，其中包含您的受信任域列表。 默认情况下，思科 ISE 允许对所有受信任的域执行身份验证。

步骤 3

要仅允许指定域，请取消选中 Use all Active Directory domains for authentication（使用所有 Active Directory
域执行身份验证）复选框。

步骤 4

选中要允许对其执行身份验证的域旁边的复选框，并点击 Enable Selected（启用所选项）。 在 Authenticate（身
份验证）列中，此域的状态会更改为 Yes（是）。